Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Mülltonne (https://www.trojaner-board.de/muelltonne/)
-   -   Combofix logfile und nun (https://www.trojaner-board.de/62438-combofix-logfile.html)

FunkySal 19.10.2008 19:12
Combofix logfile und nun
 
Hi,
ich habe eben auch die Regeln wie hier: http://www.trojaner-board.de/61720-kp-das-ist.html

Scheint erfolgreich bisher gewesen zu sein. Das ist nun mein Logfile:

ComboFix 08-10-18.03 - FunkySal 2008-10-19 19:51:23.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1560 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\FunkySal\Desktop\combo-fix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\FunkySal\Cookies\guteq.reg
C:\Dokumente und Einstellungen\FunkySal\Cookies\uqireqog.reg
C:\Dokumente und Einstellungen\FunkySal\Startmenü\Programme\XP_AntiSpyware
C:\Dokumente und Einstellungen\FunkySal\Startmenü\Programme\XP_AntiSpyware\Uninstall.lnk
C:\Dokumente und Einstellungen\FunkySal\Startmenü\Programme\XP_AntiSpyware\XP_AntiSpyware.lnk
C:\Programme\XP_AntiSpyware
C:\Programme\XP_AntiSpyware\AVEngn.dll
C:\Programme\XP_AntiSpyware\data\daily.cvd
C:\Programme\XP_AntiSpyware\htmlayout.dll
C:\Programme\XP_AntiSpyware\Microsoft.VC80.CRT\Microsoft.VC80.CRT.manifest
C:\Programme\XP_AntiSpyware\Microsoft.VC80.CRT\msvcm80.dll
C:\Programme\XP_AntiSpyware\Microsoft.VC80.CRT\msvcp80.dll
C:\Programme\XP_AntiSpyware\Microsoft.VC80.CRT\msvcr80.dll
C:\Programme\XP_AntiSpyware\pthreadVC2.dll
C:\Programme\XP_AntiSpyware\Uninstall.exe
C:\Programme\XP_AntiSpyware\wscui.cpl
C:\Programme\XP_AntiSpyware\XP_Antispyware.cfg
C:\Programme\XP_AntiSpyware\XP_AntiSpyware.exe
C:\WINDOWS\brastk.exe
C:\WINDOWS\karna.dat
C:\WINDOWS\system32\brastk.exe
C:\WINDOWS\system32\DelSelf.bat
C:\WINDOWS\system32\dllcache\beep.sys
C:\WINDOWS\system32\dllcache\figaro.sys
C:\WINDOWS\system32\drivers\svchost.exe
C:\WINDOWS\system32\Drivers\TDSSmqct.sys
C:\WINDOWS\system32\karna.dat
C:\WINDOWS\system32\TDSScfmm.dll
C:\WINDOWS\system32\TDSShrxx.dll
C:\WINDOWS\system32\TDSSlxcp.dll
C:\WINDOWS\system32\TDSSmtvd.dat
C:\WINDOWS\system32\TDSSoiqt.dll
C:\WINDOWS\system32\TDSSvkql.dll
C:\WINDOWS\system32\TDSSxhyf.dll
C:\WINDOWS\system32\wini10801.exe

Infizierte Kopie von C:\WINDOWS\system32\drivers\beep.sys wurde gefunden und desinfiziert
Kopie von - wurde wiederhergestellt

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_NPF


((((((((((((((((((((((( Dateien erstellt von 2008-09-19 bis 2008-10-19 ))))))))))))))))))))))))))))))
.

2008-10-19 19:39 . 2008-10-19 19:39 <DIR> d-------- C:\Programme\CCleaner
2008-10-19 15:24 . 2008-10-19 15:24 <DIR> d-------- C:\Programme\Lavasoft
2008-10-19 15:24 . 2008-10-19 15:24 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-10-19 15:24 . 2008-10-19 15:25 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-10-19 15:19 . 2008-10-14 23:14 211,984 --a------ C:\WINDOWS\system32\_scui.cpl
2008-10-19 15:19 . 2008-10-19 15:19 18,230 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\unatekecop.dll
2008-10-19 15:19 . 2008-10-19 15:19 17,616 --a------ C:\WINDOWS\oquk.db
2008-10-19 15:19 . 2008-10-19 15:19 16,592 --a------ C:\WINDOWS\system32\pofum.dl
2008-10-19 15:19 . 2008-10-19 15:19 15,637 --a------ C:\WINDOWS\guxarif._sy
2008-10-19 15:19 . 2008-10-19 15:19 15,548 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mutybyq.exe
2008-10-19 15:19 . 2008-10-19 15:19 15,275 --a------ C:\WINDOWS\system32\wazenelyb.reg
2008-10-19 15:19 . 2008-10-19 15:19 14,752 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\hynojyvu.sys
2008-10-19 15:19 . 2008-10-19 15:19 14,199 --a------ C:\WINDOWS\system32\oliqywyk.reg
2008-10-19 15:19 . 2008-10-19 15:19 12,127 --a------ C:\Programme\Gemeinsame Dateien\ihuqoko.reg
2008-10-19 15:19 . 2008-10-19 15:19 12,025 --a------ C:\WINDOWS\system32\yrireqa.com
2008-10-19 15:19 . 2008-10-19 15:19 11,352 --a------ C:\WINDOWS\izorolaf.vbs
2008-10-19 15:19 . 2008-10-19 15:19 10,329 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\aforahi.bat
2008-10-19 15:19 . 2008-10-19 15:19 10,078 --a------ C:\Dokumente und Einstellungen\FunkySal\Anwendungsdaten\wiro.com
2008-10-06 15:32 . 2008-10-06 15:32 <DIR> d-------- C:\WINDOWS\OvtCam
2008-10-06 15:32 . 2005-03-15 17:04 161,792 --------- C:\WINDOWS\system32\drivers\ov530vid.sys
2008-10-06 15:32 . 2004-08-05 17:34 61,440 --------- C:\WINDOWS\ov530dib.dll
2008-10-06 15:32 . 2005-09-30 09:42 40,960 --------- C:\WINDOWS\system32\ov530ext.dll
2008-10-06 15:32 . 2004-11-09 00:37 25,177 --------- C:\WINDOWS\system32\drivers\ov530cmd.sys
2008-10-06 15:32 . 2005-09-30 09:56 18,972 --------- C:\WINDOWS\system32\ov530ext.ax
2008-10-06 15:32 . 2004-07-20 01:50 16,440 --------- C:\WINDOWS\system32\ov530usd.dll
2008-10-06 15:08 . 2008-10-06 15:27 <DIR> d-------- C:\WINDOWS\system32\HWC HD
2008-10-06 15:08 . 2008-10-06 15:08 <DIR> d-------- C:\Programme\Hercules
2008-10-06 15:08 . 2006-08-01 12:31 3,600,384 --a------ C:\WINDOWS\ffmpeg.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-19 17:49 --------- d-----w C:\Dokumente und Einstellungen\FunkySal\Anwendungsdaten\Skype
2008-10-19 17:36 --------- d-----w C:\Dokumente und Einstellungen\FunkySal\Anwendungsdaten\skypePM
2008-10-19 13:19 18,692 ----a-w C:\Programme\Gemeinsame Dateien\necokov.ban
2008-10-19 13:07 66,850,848 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-10-19 09:09 --------- d-----w C:\Dokumente und Einstellungen\FunkySal\Anwendungsdaten\Azureus
2008-10-18 12:42 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-10-18 12:36 785,252 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-10-06 13:32 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-09-24 14:20 --------- d-----w C:\Programme\ICQ6
2008-09-15 15:37 1,846,144 ----a-w C:\WINDOWS\system32\win32k.sys
2008-08-30 11:14 20,418,124 ----a-w C:\WINDOWS\Internet Logs\vsmon_on_demand_2008_08_30_13_09_07_full.dmp.zip
2008-08-28 10:04 333,056 ----a-w C:\WINDOWS\system32\drivers\srv.sys
2008-08-20 05:35 665,088 ----a-w C:\WINDOWS\system32\wininet.dll
2008-08-14 13:35 2,145,280 ----a-w C:\WINDOWS\system32\ntoskrnl.exe
2008-08-14 13:35 2,023,424 ----a-w C:\WINDOWS\system32\ntkrnlpa.exe
2008-07-30 11:18 20,799,856 ----a-w C:\WINDOWS\Internet Logs\vsmon_on_demand_2008_07_30_07_48_59_full.dmp.zip
2008-03-03 12:28 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 1694208]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" [2008-02-01 21898024]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]
"ICQ"="C:\Programme\ICQ6\ICQ.exe" [2008-09-01 173304]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 144784]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-12-08 7340032]
"SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2005-02-02 102492]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2005-02-02 692316]
"RestoreIT!"="C:\Programme\Phoenix Technologies Ltd\RecoverPro_XP\VBPTASK.EXE" [2004-09-23 114688]
"MagicKeyboard"="C:\Programme\SAMSUNG\MagicKBD\PreMKBD.exe" [2006-05-14 151552]
"DisplayManager"="C:\Programme\Samsung\DisplayManager\DisplayManager.exe" [2006-06-23 520192]
"RemoteControl"="C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" [2004-11-02 32768]
"AVStation Premium 3.75"="C:\Programme\Samsung\AVStation Premium 3.75\AVSAgent.exe" [2006-07-14 159744]
"BatteryManager"="C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe" [2006-06-20 2764800]
"ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2007-02-21 58984]
"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2007-06-21 919016]
"Symantec NetDriver Monitor"="C:\PROGRA~1\SYMNET~1\SNDMon.exe" [2007-07-14 100056]
"SoundMAXPnP"="C:\Programme\Analog Devices\Core\smax4pnp.exe" [2005-05-20 925696]
"EDS"="C:\Programme\Samsung\Samsung EDS\EDSAgent.exe" [2006-07-12 630784]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-03-28 413696]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-03-30 267048]
"nwiz"="nwiz.exe" [2005-12-08 C:\WINDOWS\system32\nwiz.exe]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAShCut.exe" [2005-01-07 C:\WINDOWS\system32\HdAShCut.exe]
"AGRSMMSG"="AGRSMMSG.exe" [2006-06-29 C:\WINDOWS\AGRSMMSG.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.divxa32"= DivXa32.acm

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\WINDOWS\\system32\\ZoneLabs\\avsys\\ScanningProcess.exe"=
"C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R0 RITCPT;RITCPT;C:\WINDOWS\system32\drivers\RITCPT.sys [2004-05-18 43512]
R2 DOSMEMIO;MEMIO;C:\WINDOWS\system32\MEMIO.SYS [2000-08-23 4300]
R2 FBAPI;FBAPI;C:\WINDOWS\system32\drivers\FBAPI.sys [2004-05-18 5088]
R2 SNM WLAN Service;SNM WLAN Service;C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe [2005-05-28 36864]
S2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe [2006-08-03 100032]
S3 DNSeFilter;DNSeFilter;C:\WINDOWS\system32\drivers\SamsungEDS.sys [2006-07-12 27648]
S3 ovt530;Webcam Deluxe;C:\WINDOWS\system32\Drivers\ov530vid.sys [2005-03-15 161792]
S3 SSB2413;SSB2413 Wireless Network Adapter Service;C:\WINDOWS\system32\DRIVERS\SSB2413.sys [2006-01-16 470112]
S3 SUEPD;SUE NDIS Protocol Driver;C:\WINDOWS\system32\DRIVERS\SUE_PD.sys [2005-05-24 19840]
S3 USB28xxBGA;Cinergy Hybrid T USB XS;C:\WINDOWS\system32\DRIVERS\emBDA.sys [2005-09-06 202496]
S3 USB28xxOEM;Cinergy T USB XS Custom Filter;C:\WINDOWS\system32\DRIVERS\emOEM.sys [2005-09-06 5376]
S3 Usblink;Usblink Driver;C:\WINDOWS\system32\Drivers\ulink.sys [2003-06-02 40060]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3daffce3-3a82-11dc-9261-0016cfe6df34}]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycled\ctfmon.exe
\Shell\Open(&0)\command - Recycled\ctfmon.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bb040cf2-9162-11dd-9426-0016cfe6df34}]
\Shell\AutoRun\command - F:\EmDesk.exe
\Shell\EmDesk\command - F:\EmDesk.exe
.
Inhalt des "geplante Tasks" Ordners

2008-10-16 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Programme\Apple Software Update\SoftwareUpdate.exe [2008-04-11 17:57]

2008-10-10 C:\WINDOWS\Tasks\Norton AntiVirus - Meinen Computer prüfen - FunkySal.job
- C:\PROGRA~1\NORTON~1\Navw32.exe [2005-07-19 14:09]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-XP Antispyware 2009 - C:\Programme\XP_AntiSpyware\XP_AntiSpyware.exe
HKLM-Run-farstone - (no file)
HKU-Default-Run-brastk - C:\WINDOWS\system32\brastk.exe


.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\FunkySal\Anwendungsdaten\Mozilla\Firefox\Profiles\ycfopl1p.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE -
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-19 19:54:50
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCSETMGR.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCEVTMGR.EXE
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Norton AntiVirus\NAVAPSVC.EXE
C:\Programme\Norton AntiVirus\IWP\NPFMNTOR.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Samsung\MagicKBD\MagicKBD.exe
C:\Programme\Samsung\MagicKBD\PerformanceManager.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programme\Samsung\Samsung Update Plus\SLUTrayNotifier.exe
C:\WINDOWS\system32\taskmgr.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-10-19 20:03:45 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-10-19 18:03:42

Vor Suchlauf: 4.585.586.688 Bytes frei
Nach Suchlauf: 5,589,438,464 Bytes frei

237 --- E O F --- 2008-10-16 01:02:54


Muss ich noch was tun?

Danke für Hilfe :)

Sehr nervig diese Geschichte.

FunkySal


Alle Zeitangaben in WEZ +1. Es ist jetzt 15:43 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131